Существуют различные сервисы работающие по API. Для работы с ними, сервисы выдают токен, один и надолго. Для работы с сервисами разрабатывают приложение. Работают по https. Каким образом лучше хранить эти токены на хостнге? Шифровать в базе, или просто шифровать, или еще как-то?
просто в файле например. ну серьезно. если кто-то уведет файл то это проблема безопасности всего сервера а с этого и начинается сохранность токенов и других важных данных.
если в файле, то есть доступ админа хостинга к этому файлу, даже не админа, а админОВ) Если учесть, что сервисы предоставляют как обычные токены для работы с данными, так и финансовые токены, то уже как-то открыто их хранить:-\
Это слишком радикальные методы) Способов думаю много может быть, мягких. Ну например зазендить. Наверняка и еще что-то есть.
ну если кто то из админОВ захочет увести токен, он его уведет, переберет весь код и вычислит как и что, как не шифруй (дешифратор то все равно должен быть где то на сервере). А так в качестве защиты от дурака не стоит называть файл "токен на котором хранятся деньги, не трогать.php" ну и т.п.
дешифратор может быть и на другом ведь сервере, вместе с токеном, а "отдача" токена например только при передаче всегда разных волшебных цифр этому серверу где хранится токен, и всё по ssl. Правда не знаю насколько ssl дыряв. Хотя мне кажется проще зазендить скрипт, вместе со всеми токенами и всем кодом. Проще/надёжнее пока никто не предложил)
Как админ сервера... ну часа 2-3 максимум займет у меня перехватить ваш токен написав, например, свой сurl экстеншен логирующий все входящее в него.
MiksIr, ну... можно жить на первом этаже без решёток, понимая что конечно же их спилят, если захотят залезть на первый этаж. Но всё же, некая часть людей желающих залезть, махнёт рукой, и пойдёт лезть в то окно, где открыта форточка.
Если этим кто-то действительно занимается - то оно уже давно сделано и работает на всех его серверах. Так что не забудьте на хостинге собрать еще свой php. И свои системные библиотеки
Поскольку Вы является админом, Вы специально лоббируете идеологию – "парни ничего не кодируйте", т.к. в таком случае будете имееть всегда доступ ко многим интересным вещам)))) А западные коллеги наверно все дураки, и зря придумывают разные уровни кодировки зендом, а также дорогим кубом)
Я ничего не лоббирую и даже не особо спорю с вами - нет интереса. Я даже отговаривать вас выходить в окно на 15-м этаже не буду. Считаете, что зенд вам поможет - зендите. Западные коллеги, как и российские, которым действительно нужно что-то защищать - ставят свои сервера. Другого варианта нет. Да, и зенд и куб придумали в первую очередь для людей продающих свои скрипты как продукты.
Подтверждаю. Автор, если хостинг гнилой, то все уже украдено. Я бы, на месте гнилохостера сразу настроил сниффер, который слушает запросы на API платежных систем и тому подобное. Чтобы не шерстить акки, а сразу знать, к кому идти в гости. PHP, в отличие от компилируемых языков, предполагает поставку исходных кодов. Но есть виды лицензий, подразумевающие закрытие исходного кода. Западные коллеги, которые не дураки, просекли, что есть ниша, и в нише есть спрос. Это не для защиты от админов шарохостов, это для "закрывания" исходников от покупателей продукта. Как было сказано неоднократно - не доверяете админам, поднимайте свой сервер. Это дешевле и проще, чем вам кажется, поверьте. На предприятиях время от времени бывает распродажа списанного оборудования, например. У меня для экспериментов лежит дома стоечный сервак, прикупленный так за 1 килорубль. Всего 1 килорубль, Карл. Ну а такие вопросы как отбеливание IP - уже со своим провайдером порешаете. Мой, например, бесплатно это делает.